Un trabajador solicitó al departamento de RRHH de su empresa el envío de su nómina por correo electrónico y unos días después recibió un correo electrónico con un archivo PDF adjunto con las nóminas de toda la plantilla, conteniendo, concretamente, información de 447 personas trabajadoras con los siguientes datos personales: nombre, apellido, número de DNI/NIE, número de la Seguridad Social, número de cuenta bancaria y retribución percibida. Al ver el contenido del archivo el trabajador lo comunicó al remitente, quien le aseguró que procedía a eliminarlo inmediatamente, pero sin que, no obstante, informara del incidente a sus superiores jerárquicos, motivo por el que la empresa no tuvo conocimiento de la brecha de seguridad hasta la notificación del traslado de la reclamación ante la Agencia Española de Protección de Datos interpuesta por el trabajador.
La empresa alegó en su descargo que había adoptado medidas de seguridad y la existencia de un error humano, pero para la Agencia Española de Protección de Datos resulta especialmente relevante analizar la situación y formación de los/as empleados/as en materia de protección de datos y ciberseguridad, por lo que requirió a la empresa la acreditación de la difusión y traslado de las políticas de seguridad y protocolos al personal realizados con anterioridad a la brecha, en tanto que responsable de implementar de manera efectiva las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo para asegurar la confidencialidad de los datos, considerando que en ese concreto caso las medidas implementadas no eran apropiadas, independientemente de la brecha producida. A juicio de la Agencia la actuación negligente del empleado en la gestión de los datos personales obrantes en las nóminas de las personas trabajadoras no eximían la responsabilidad de la empresa, por lo que le impuso dos severas sanciones, una de 300.000,00 euros por la infracción del deber de confidencialidad e integridad (RGPD 5.1.f) y 83.5.a), y una segunda de 150.000,00 euros más por la falta de medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado (RGPD art.32 y 83.4.a).